- Realize muitas pesquisas pois é um campo sempre cheio de novidades
- Conheça de tudo um pouco - Arquitetura de sistemas, banco de dados, programação e infraestrutura
- Pesquise sobre metodologia de Pentest (Penetration testing) e Análise de vulnerabilidade
- Cuidado com cursos de segurança que não possuam histórico de reputação, existe muita fraude no mercado
- Busque certificações relacionadas a segurança como Cisco Certified Security Professional ou Certified Ethical Hacker (C|EH)
- Acompanhe eventos de segurança
- Participe ou crie grupos de profissionais para troca de conhecimento
Dicas para se tornar um profissional de segurança de TI
Gestão de acesso - Organizando a casa
Uma empresa possui diversos sistemas que ao longo do tempo acumulam acessos. Estes acessos mal gerenciados acabam ficando ativos, porque as pessoas deixam as empresas mas seus usuários não são inativados.
Se você não tem possibilidade de implantar uma solução de gerenciamento de identidades deve começar organizando os processos e criando uma base de controle.
Esta base permitirá que ao desligar uma pessoa, você consiga obter todos acessos que a mesma possui e também no caso de uma auditoria responder rapidamente.
A manutenção desta base deve ser incluida nos fluxos de concessão e remoção de acesso.
A sugestão é que nesta base inclua a Matricula, CPF, Nome, Acessos dos usuários e os respectivos status.
Finalizando, com uma base desta, é possivel monitorar e descobrir concessões indevidas de acesso a sistemas.
Se você não tem possibilidade de implantar uma solução de gerenciamento de identidades deve começar organizando os processos e criando uma base de controle.
Esta base permitirá que ao desligar uma pessoa, você consiga obter todos acessos que a mesma possui e também no caso de uma auditoria responder rapidamente.
A manutenção desta base deve ser incluida nos fluxos de concessão e remoção de acesso.
A sugestão é que nesta base inclua a Matricula, CPF, Nome, Acessos dos usuários e os respectivos status.
Finalizando, com uma base desta, é possivel monitorar e descobrir concessões indevidas de acesso a sistemas.
Exemplo: Política de acesso remoto a rede
Segue um trecho de sugestão de política de acesso a rede corporativa:
Acesso via VPN pessoal
Acesso a VPN será permitido para colaboradores que possuírem notebook corporativo da XXXX.
Não será permitido o uso de VPN pessoal por prestadores de serviço, exceto situações de suporte de sistemas, previamente autorizadas pelo Diretor de TI.
Acesso via VPN corporativo
O acesso a VPN de forma corporativa onde um parceiro de negócios acessa a rede da XXX será apenas para situações onde existirá um contrato de prestação de serviços com termo de confidencialidade.
Todos os parceiros de negócio deverão passar por uma vistoria de segurança da informação e TI.
Não será permitido estabelecer uma comunicação VPN para fins de configuração de ambientes e outras atividades pontuais.
Exemplo: Política de acesso a Internet
Segue um trecho de sugestão de política de acesso a internet corporativa:
Utilização da internet
A internet deve ser utilizada, exclusivamente, para fins corporativos. O uso pessoal deve ser moderado e de forma breve (essa prática é recomendada apenas fora do horário comercial).
A empresa poderá, sem aviso prévio, restringir o acesso a qualquer site que apresente conteúdo impróprio, ou que não esteja relacionado aos seus interesses, por exemplo:
• Pornográfico ou pedófilo.
• Apologia a racismo e/ou terrorismo.
• Apologia ao crime ou a drogas.
• Download de programas ou arquivos fora dos interesses da empresa.
• Hackers.
• Salas de bate-papo fora dos interesses da empresa, incluindo programas de comunicação instantânea e redes sociais, por exemplo, Orkut, MSN Messenger, Skype, Yahoo! Messenger etc.
• Comércio eletrônico fora dos interesses da empresa.
• Jogos, incluindo jogos de azar.
Serão estabelecidos perfis de acesso a internet baseado em cargo e/ou departamento, estes divulgados junto ao procedimento de solicitação de acesso. Qualquer exceção de acesso dependerá de justificava aceita por Segurança da Informação e aceite por escrito do Diretor correspondente.
Alterações em perfis de acesso existentes dependerão de aceite do departamento de recursos humanos (que validará a relação do acesso a cargos e responsabilidades das áreas), segurança da informação e diretor correspondente.
Acessar a Internet para alterar ou destruir recursos computacionais de outras instituições. Se a partir de uma conta, um usuário interno da Empresa estiver, de qualquer maneira, interferindo nos recursos computacionais de outras instituições a conta de acesso será bloqueada para auditoria. O caso será levado às áreas responsáveis para devidas providências.
A utilização da internet é constantemente monitorada, sendo este monitoramento realizado de forma aleatória e impessoal.
A utilização indevida da internet poderá ser relatada ao seu superior imediato, à área de Segurança da Informação e à diretoria, podendo sanções cabíveis ser aplicadas.
Utilização da internet
A internet deve ser utilizada, exclusivamente, para fins corporativos. O uso pessoal deve ser moderado e de forma breve (essa prática é recomendada apenas fora do horário comercial).
A empresa poderá, sem aviso prévio, restringir o acesso a qualquer site que apresente conteúdo impróprio, ou que não esteja relacionado aos seus interesses, por exemplo:
• Pornográfico ou pedófilo.
• Apologia a racismo e/ou terrorismo.
• Apologia ao crime ou a drogas.
• Download de programas ou arquivos fora dos interesses da empresa.
• Hackers.
• Salas de bate-papo fora dos interesses da empresa, incluindo programas de comunicação instantânea e redes sociais, por exemplo, Orkut, MSN Messenger, Skype, Yahoo! Messenger etc.
• Comércio eletrônico fora dos interesses da empresa.
• Jogos, incluindo jogos de azar.
Serão estabelecidos perfis de acesso a internet baseado em cargo e/ou departamento, estes divulgados junto ao procedimento de solicitação de acesso. Qualquer exceção de acesso dependerá de justificava aceita por Segurança da Informação e aceite por escrito do Diretor correspondente.
Alterações em perfis de acesso existentes dependerão de aceite do departamento de recursos humanos (que validará a relação do acesso a cargos e responsabilidades das áreas), segurança da informação e diretor correspondente.
Acessar a Internet para alterar ou destruir recursos computacionais de outras instituições. Se a partir de uma conta, um usuário interno da Empresa estiver, de qualquer maneira, interferindo nos recursos computacionais de outras instituições a conta de acesso será bloqueada para auditoria. O caso será levado às áreas responsáveis para devidas providências.
A utilização da internet é constantemente monitorada, sendo este monitoramento realizado de forma aleatória e impessoal.
A utilização indevida da internet poderá ser relatada ao seu superior imediato, à área de Segurança da Informação e à diretoria, podendo sanções cabíveis ser aplicadas.
DRP & Cloudcomputing
DRP - Disaster Recovery Plan é um plano para que uma empresa sobreviva a um desastre tecnologico restabelecendo suas atividades com o menor impacto possível para o negócio.
Como usar o Cloud computing para viabilizar isso de forma rápida?
Deixe seus dados fora de applications servers, procure sincronização de banco de dados. Arquivos também devem ser armazenados externamente.
Replique seus arquivos estáticos (php, etc) usando websync.
Como usar o Cloud computing para viabilizar isso de forma rápida?
Deixe seus dados fora de applications servers, procure sincronização de banco de dados. Arquivos também devem ser armazenados externamente.
Replique seus arquivos estáticos (php, etc) usando websync.
Devo escrever um livro?
Essa é uma pergunta que depende de uma certa análise... vamos lá, qual é o objetivo do livro para você? Dinheiro? Fama? Compartilhar conhecimento e ajudar as pessoas? Melhorar seu curriculo?
Dificilmente a pessoa emplacará um livro com grandes vendas que traga dinheiro e fama. É um mercado muito concorrido onde não é só sua capacidade que faz a diferença. Depende muito de sorte para que seu livro chame a atenção de uma editora grande e vire uma realidade.
Agora se para você é gratificante ajudar outras pessoas, não tenho o que falar, vá em frente. Meus livros por exemplo não tem um volume grande de vendas mas são vendas com qualidade. O mais gratificante para mim é receber um email de um aluno de alguma faculdade no Brasil usando meu livro no TCC.
Fora isso, profissionalmente agrega e muito.
Como dica, use a internet para muita pesquisa, e que pesquisa? Pesquise sobre a lógica do mercado editorial. Busque no começo uma editora menor. Escreva antes o primeiro capítulo e organize o indice. Tente lançar seu livro em um local interessante (chore bastante para conseguir). Se pensa em um romance, pesquise sobre a Jornada do Herói para ter uma referencia e boa sorte.
Abro o canal de comunicação para ajudar no que for possível com dicas e experiência.
Abraço
Dificilmente a pessoa emplacará um livro com grandes vendas que traga dinheiro e fama. É um mercado muito concorrido onde não é só sua capacidade que faz a diferença. Depende muito de sorte para que seu livro chame a atenção de uma editora grande e vire uma realidade.
Agora se para você é gratificante ajudar outras pessoas, não tenho o que falar, vá em frente. Meus livros por exemplo não tem um volume grande de vendas mas são vendas com qualidade. O mais gratificante para mim é receber um email de um aluno de alguma faculdade no Brasil usando meu livro no TCC.
Fora isso, profissionalmente agrega e muito.
Como dica, use a internet para muita pesquisa, e que pesquisa? Pesquise sobre a lógica do mercado editorial. Busque no começo uma editora menor. Escreva antes o primeiro capítulo e organize o indice. Tente lançar seu livro em um local interessante (chore bastante para conseguir). Se pensa em um romance, pesquise sobre a Jornada do Herói para ter uma referencia e boa sorte.
Abro o canal de comunicação para ajudar no que for possível com dicas e experiência.
Abraço
Como implementar e manter perfis de usuários corporativos?
Estabeleça um processo:
Onde focar seu projeto visando um grande retorno imediato:
- Desenvolva ou atualize uma visão RBAC para a empresa, divulgue suas ações
- Levantamento de requisitos baseados em entrevistas com executivos e lideres de negócio
- Levantamento junto a aplicações e seus proprietários
- Mineração de perfis junto aos dados existentes nas aplicações
- Adequação dos perfis após a mineração
- Certificação de perfis para garantir a qualidade do mesmo
- Certificação de usuários para garantir (pelos gestores) que seus subordinados possuem os acessos corretos
Onde focar seu projeto visando um grande retorno imediato:
- Áreas com grande rotatividade
- Áreas com funções padronizadas
- Organizações adquiridas recentemente
8 Passos para uma implementação de DLP com sucesso
8 Passos para uma implementação de DLP com sucesso:
- Identificar todo o time a ser envolvido no processo de DLP
- Desenvolver um processo de notificação de vazamento de informação
- Corrija processos de negócio que possam auxiliar uma brecha de informação, como por exemplo transferência de dados de forma automática
- Organize junto ao RH um processo para tratar quem está vazando informação na empresa
- Estabeleça o time de gestão de incidentes e os fluxos
- Estabeleça SLAs para resolução dos incidentes
- Estabeleça o modelo de report gerencial e automatize o mesmo
- Implemente por estágios o processo começando por um ambiente e em modo de monitoração
COMUNICAÇÃO - AUTENTICAÇÃO DE SERVIÇOS
Completando a questão de comunicação, além de identificarmos a origem por meio de seu endereço IP, para alguns casos devemos incluir uma autenticação de serviço.
Por exemplo, você disponibiliza um serviço TCP que realiza uma transação financeira, e o mesmo reside na maquina X. A maquina X confia na maquina Y para conexão, mas alguém “ganhou” acesso a maquina Y e pode conectar neste serviço. Se este serviço não pedir um controle de autenticação (Por exemplo por usuário e senha), o serviço pode ser acionado por qualquer um.
Exemplos de serviços padrão de mercado que pedem autenticação:
- FTP
- SFTP
- SCP
- LDAP
- JDBC
Exemplos de casos que você deve implementar uma autenticação:
- Webservices
- Socket TCP
Meus livros no GoogleBooks
Gerenciamento de Identidades:
http://books.google.com.br/books?hl=pt-BR&lr=&id=ACFU300zVGUC&oi=fnd&pg=PA1&dq=Gerenciamento+de+identidades&ots=-xjtlVB9C7&sig=Ckv8BoOhVIi_cMaVfbHIAbse0UQ#v=onepage&q&f=false
Quem mexeu no meu sistema?
http://books.google.com.br/books?id=ndgRZ0notxgC&printsec=frontcover&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false
Integração de sistemas com java:
http://books.google.com.br/books?id=lcKAFDjGEaoC&printsec=frontcover&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false
http://books.google.com.br/books?hl=pt-BR&lr=&id=ACFU300zVGUC&oi=fnd&pg=PA1&dq=Gerenciamento+de+identidades&ots=-xjtlVB9C7&sig=Ckv8BoOhVIi_cMaVfbHIAbse0UQ#v=onepage&q&f=false
Quem mexeu no meu sistema?
http://books.google.com.br/books?id=ndgRZ0notxgC&printsec=frontcover&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false
Integração de sistemas com java:
http://books.google.com.br/books?id=lcKAFDjGEaoC&printsec=frontcover&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false
BSIMM2
Precisa de um guia de boas práticas de processo de desenvolvimento de software seguro?
BSIMM2 é a pedida certa: http://bsimm.com/
BSIMM2 é a pedida certa: http://bsimm.com/
COMUNICAÇÃO - CONTROLE DE ORIGEM E DESTINO
Controle de origem e destino baseia-se em identificar quem esta conectando e se esta autorizado a fazer isso.
A origem neste caso pode ser um usuário de aplicativo ou um módulo de um aplicativo.
Exemplos:
- Um usuário com um browser em relação a um Web Server ou Proxy Server
- Um Proxy Server em relação a um Web Server
- Um Web Server em relação a um Application Server
Devemos considerar por exemplo, que um Application Server não pode receber conexões diretamente de usuários finais, ou seja, só pode receber conexões de um Web Server determinado.
E como determinar a origem? Normalmente pelo seu endereço IP, então nos casos acima, só conecta no Web Server os Proxies com Ips pré-cadastrados, o mesmo vale para os Web Servers em relação ao Application Server.
Fechando este ponto, toda conectividade entre servidores deve gerar log, visando a rastreabilidade de eventos.
Segurança em Cloud Computing
Segue abaixo os principais pontos de atenção quando se pensa em Cloud Computing (Detalharei no futuro os mesmos):
- Monitorar o acesso administrativo - Garantir atividades administrativas indevidas
- Implementar uma solução de DLP - Para não permitir o vazamento de informação em si
- Implementar uma solução de controle de acesso a Banco de Dados - Objetivando não permitir manipulações indevidas de dados de produção dentro da nuvem
- IAM - Controle de acesso em todo ambiente
- Web application firewalls
- Distributed denial-of-service protection
- Datacenter com certificação SAS70 (http://sas70.com/sas70_faqs.html)
- Encriptação de dados
- Solicitar relatórios periódicos de Pen Test feitos por empresas terceiras
Planejando um acesso WiFi corporativo
Planejando um acesso WiFi corporativo
Diversos aspectos devem ser observados no planejamento de uma rede de WiFi corporativo, vamos analisar cada um deles:
Tipos de rede
O primeiro ponto a ser analisado é o objetivo da rede. A rede WiFi é para fins de trabalho no dia a dia, acesso de desenvolvedores terceiros, hotspot de convidados?
Poderá inclusive existir uma condição mista, onde determinada situação use um meio com mais ou menos restrições.
Seguem alguns cenários:
Basicamente deverão ser mapeadas as condições, topologia de rede para cada caso e os controles.
Um usuário que acessa como convidado deve ter no minimo criptografia na comunicação e pode ou não ter sua navegação web analisada.
Autenticação
Dependendo do cenário, a autenticação é necessária e poderá ser integrada a base de usuários de rede existente, garantindo um mesmo usuário e senha já comum para o usuário final. Este é um cenário recomendado para navegação web e emails a partir de tablets de funcionários.
Casos mais críticos podem exigir uma autenticação com certificado digital, este de posse física em um equipamento usb.
Reputação
Controle de reputação consiste em identificar se o equipamento está autorizado a acessar determinada rede. Estes controles analisam se um notebook por exemplo, tem o antivirus correto, entre outros controles. Modelo recomendado para acesso a sistemas corporativos como um ERP.
Antenas piratas
Equipamentos profissionais de WiFi corporativo possuem funcionalidades de identificação de antenas wifi piratas, o que garante uma não proliferação de meios de acesso irregulares.
Diversos aspectos devem ser observados no planejamento de uma rede de WiFi corporativo, vamos analisar cada um deles:
Tipos de rede
O primeiro ponto a ser analisado é o objetivo da rede. A rede WiFi é para fins de trabalho no dia a dia, acesso de desenvolvedores terceiros, hotspot de convidados?
Poderá inclusive existir uma condição mista, onde determinada situação use um meio com mais ou menos restrições.
Seguem alguns cenários:
- Funcionário com notebook acessando ERP
- Funcionário com tablet acessando a internet e email
- Terceiro acessando o ambiente de desenvolvimento
- Convidado acessando a internet
Basicamente deverão ser mapeadas as condições, topologia de rede para cada caso e os controles.
Um usuário que acessa como convidado deve ter no minimo criptografia na comunicação e pode ou não ter sua navegação web analisada.
Autenticação
Dependendo do cenário, a autenticação é necessária e poderá ser integrada a base de usuários de rede existente, garantindo um mesmo usuário e senha já comum para o usuário final. Este é um cenário recomendado para navegação web e emails a partir de tablets de funcionários.
Casos mais críticos podem exigir uma autenticação com certificado digital, este de posse física em um equipamento usb.
Reputação
Controle de reputação consiste em identificar se o equipamento está autorizado a acessar determinada rede. Estes controles analisam se um notebook por exemplo, tem o antivirus correto, entre outros controles. Modelo recomendado para acesso a sistemas corporativos como um ERP.
Antenas piratas
Equipamentos profissionais de WiFi corporativo possuem funcionalidades de identificação de antenas wifi piratas, o que garante uma não proliferação de meios de acesso irregulares.
Auditoria de eventos
Auditoria de eventos
O objetivo deste artigo é apresentar uma visão geral de auditoria de eventos (log management).
Auditoria de eventos consiste em coletar registros de fatos ocorridos em recursos de informática, como por exemplo aplicativos.
O processo de auditoria ocorre normalmente por meio de aplicações ou agentes de auditoria enviando eventos para bancos de dados ou servidores de auditoria.
O que auditar?
Todo processo de identificação para entrada e saida de um sistema deve ser auditado, considerando os seguintes dados:
- Endereço IP de origem
- Maquina utilizada na origem
- Identificação unica de usuário
- Data e Hora de entrada na aplicação
- Data e Hora de saida da aplicação
- Identificador de sessão do usuário
Exemplo de evento:
IDEvento
|
IP
|
Maquina
|
IDOrigem
|
IDAlvo
|
DataHora
|
Sessão
|
Descricao
|
501
|
127.0.0.1
|
XPTO1
|
USER01
|
USER01
|
01012008170000
|
1234556
|
Logon com sucesso
|
Eventos de administração de usuários, devem ser auditados, incluindo o usuário que está administrando (IDOrigem), exemplos:
- Usuário criado
- Senha de usuário trocada
- Usuário bloqueado
- Usuário desbloqueado
Exemplo de evento:
IDEvento
|
IP
|
Maquina
|
IDOrigem
|
IDAlvo
|
DataHora
|
Sessão
|
Descricao
|
508
|
127.0.0.1
|
XPTO1
|
ADM01
|
USER01
|
01012008170000
|
1234556
|
Criado com sucesso
|
Eventos transacionais também devem ser auditados para identificar por exemplo, que usuário realizou uma determinada venda, ou concedeu um crédito.
Exemplos de eventos transacionais:
IDEvento
|
IP
|
Maquina
|
IDOrigem
|
Alvo
|
DataHora
|
Sessão
|
Descricao
|
602
|
127.0.0.1
|
XPTO1
|
USER01
|
Modulo01
|
01012008170000
|
1234556
|
Concedido credito para o CPF 000000001
|
602
|
127.0.0.1
|
XPTO1
|
USER01
|
Modulo01
|
01012008170000
|
1234556
|
Concedido credito para o CPF 000000002
|
603
|
127.0.0.1
|
XPTO1
|
USER01
|
Modulo02
|
01012008170000
|
1234556
|
Venda produto XPTO para o CPF 000000001
|
Todo registro de auditoria deve possuir um identificador unico por tipo de evento(IDEvento), exemplos:
- 501 – Logon com sucesso
- 502 – Tentativa de logon sem sucesso
- 503 – Logoff do sistema
- 504 – Usuário bloqueado
IDEvento
|
IP
|
Maquina
|
IDOrigem
|
IDAlvo
|
DataHora
|
Sessão
|
Descricao
|
501
|
127.0.0.1
|
XPTO1
|
USER01
|
USER01
|
01012008170000
|
1234556
|
Logon com sucesso
|
503
|
127.0.0.1
|
XPTO1
|
USER01
|
USER01
|
01012008170000
|
1234556
|
Logoff do sistema
|
Niveis de auditoria
Um aplicativo pode possuir diversos níveis de auditoria, normalmente configuraveis. A idéia disso é que, em momentos que um sistema precisa de maior performance, a auditoria seja baixada para um nível menos rigoroso, ou seja, registrando menos eventos.
Exemplo de tabela de nível de auditoria:
Nível de auditoria
|
ID Evento
|
1
|
501
|
1
|
503
|
2
|
518
|
3
|
520
|
No exemplo acima, nível 1 registraria os eventos 501 e 503 e o nivel 3 registraria os eventos 501,503,518 e 520.
Não repudio
Os eventos registrados precisam ser controlados para que não ocorra o repudio às evidencias.
Usuários fraudadores estarão negando as ações auditadas e as empresas precisam de controles para evitar isso. Este tipo de controle é conhecido por “Controle de Não Repudio”.
Dois controles são aplicáveis neste caso:
- Certificação de eventos
- Sequenciamento de eventos
Certificação de eventos, consiste em certificar digitalmente cada registro gravado em banco de dados, para distinguir de inclusões diretas no banco de dados.
Sequenciamento de eventos consiste em numerar sequenciamente cada linha de evento para identificar se algum evento certificado foi apagado.
Exemplo de certificação de evento e sequenciamento:
ID Evento
|
Descricao
|
Certificado
|
Sequencia
|
501
|
Logon
|
dshdjhkjkllhlkçkçllk
|
1
|
501
|
Logon
|
Shglgoysdfoysodsho
|
2
|
518
|
Logout
|
uoisdyosdyuiguifgtf
|
3
|
Exemplos de bases de auditoria violadas:
1) Exemplo de inclusão de evento não autorizado diretamente na base:
ID Evento
|
Descricao
|
Certificado
|
Sequencia
|
501
|
Logon
|
dshdjhkjkllhlkçkçllk
|
1
|
502
|
Bloqueio
| ||
518
|
Logout
|
uoisdyosdyuiguifgtf
|
2
|
2) Exemplo de exclusão de evento(Sequencia 2):
ID Evento
|
Descricao
|
Certificado
|
Sequencia
|
501
|
Logon
|
dshdjhkjkllhlkçkçllk
|
1
|
502
|
Bloqueio
|
Shglgoysdfoysodsho
|
3
|
518
|
Logout
|
uoisdyosdyuiguifgtf
|
4
|
Logs de navegação - urls
Uma grande ferramenta para identificar brechas em aplicativos web, são os logs de navegação - urls.
Estes logs podem ser obtidos a partir de um Proxy Reverso com autenticação para identificar quem está navegando.
A partir do momento que você possui um registro da navegação dos usuários, você pode identificar comportamentos e entender como um atacante invade o sistema.
Exemplo de log de navegação:
ID Evento
|
Descricao
|
ID Alvo
|
URL
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/index.jsp
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/login.jsp
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/menu.jsp
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/ativar.jsp
|
Pelo log acima, você pode identificar um comportamento normal.
Index.jsp – Pagina de logon
Login,jsp – Pagina que processa o logon
Menu.jsp – Pagina com os menus do usuário
Ativar.jsp – Um dos itens do menu
Exemplo de log de navegação suspeito:
ID Evento
|
Descricao
|
ID Alvo
|
URL
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/index.jsp
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/login.jsp
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/menu.jsp
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/login.jsp
|
701
|
Navegacao
|
USER01
|
http://www.meusite.com.br/ativar.jsp
|
Pelo log acima, você pode identificar um comportamento anormal. Porque o usuário após ver o menu, chamou a página de processar logon novamente? Estaria o usuário tentando trocar o logon no aplicativo para fraudar?
Análise de eventos
Análise de eventos consiste em após um incidente (ataque, fraude, etc), o administrador iniciar uma investigação nos dados de auditoria.
Alguns pontos de atenção iniciais a serem validados:
- Base de dados foi violada com inclusão/alteração (Ver certificação de eventos)
- Base de dados foi violada com exclusão (Ver sequenciamento de eventos)
Após isso, analisar os eventos basicos de auditoria para identificar os incidentes.
Após identificar os incidentes, verificar o usuário que realizou os eventos.
Sendo uma suspeita de ataque, analisar os logs de navegação para identificar comportamentos estranhos.
Alertas
Sistemas de auditoria podem ser configurados para executar alertas, baseados em condições de eventos.
Estes tipos de alertas podem ser:
- Aviso em painel de monitoramento
- Envio de email
- Envio de SMS
- Ligação telefonica
Exemplos de condições de eventos:
- Venda do produto X após as 23:00 horas
- Concessão de crédito para pessoa em lista negra de crédito
- Logon fora de horário padrão
Correlação de dados corresponde ao cruzamento de informações de auditoria e logs diversos, de forma online ou não.
Desenho de uma solução de correlação:
O objetivo de correlacionar dados é identificar pontos de falha em um processo, fraudes, entre outros problemas.
Um exemplo simples, é a venda, onde por exemplo, quatro sistemas seriam envolvidos na transação, de forma independente:
- Consulta de crédito no mercado
- Ferramenta de análise de crédito por comportamento/caracteristicas
- Concessão efetiva do crédito
- Liberação do produto
Considerando uma eventual fraude, os dois primeiros passos poderiam ser ignorados, indo diretamente para a concessão do crédito.
Com uma ferramenta de correlação de dados, seria levantado um alerta que ocorreu uma concessão de crédito sem a devida análise de crédito.
Exemplo de logs correlacionáveis:
Análise de crédito:
ID Evento
|
Descricao
|
CPF
|
Resultado
|
705
|
Análise
|
00001
|
OK
|
705
|
Análise
|
00006
|
OK
|
705
|
Análise
|
00003
|
NOK
|
705
|
Análise
|
00008
|
OK
|
Concessão de crédito:
ID Evento
|
Descricao
|
CPF
|
Resultado
|
708
|
Concessão
|
00002
|
OK
|
708
|
Concessão
|
00001
|
OK
|
708
|
Concessão
|
00003
|
NOK
|
708
|
Concessão
|
00006
|
OK
|
708
|
Concessão
|
00007
|
OK
|
Efetivação de venda:
ID Evento
|
Descricao
|
CPF
|
Resultado
|
809
|
Venda produto X
|
00002
|
OK
|
809
|
Venda produto Y
|
00001
|
OK
|
809
|
Venda produto X
|
00003
|
NOK
|
809
|
Venda produto Y
|
00006
|
OK
|
809
|
Venda produto X
|
00007
|
OK
|
Pela correlação de eventos acima, podemos constatar que o CPF 00001 teve análise de crédito, concessão de crédito e efetivação de venda ok. Por outro lado, o CPF 00002, conseguiu comprar sem análise de crédito(Podendo ser uma eventual fraude).
Assinar:
Postagens (Atom)